管理 CIS 以实现最佳安全性

IBM Cloud® Internet Services ( CIS ) 安全设置包括安全默认值，旨在避免误报和对流量产生负面影响。但是，这些安全缺省设置不会为每个客户提供最佳安全态势。请按照以下步骤确保 CIS 账户的配置安全可靠。

通过代理和增加混淆来保护您的源 IP 地址
有选择地配置安全级别
安全地激活 Web 应用程序防火墙 (WAF)

最佳实践 1：保护源 IP 地址

当使用 CIS 代理一个子域时，所有流量都会受到保护，因为 CIS 会主动响应 CIS 的特定 IP 地址（例如，您的所有客户端都会首先连接到 CIS 代理，而您的源 IP 地址会被掩盖）。

将 CIS 代理用于来自源的 HTTP(S) 流量的所有 DNS 记录

为了提高您原始IP地址的安全性，您应该代理所有 HTTP （S）流量。

看到不同的自己 - 查询不使用代理和使用代理的记录：

dig nonproxied.theburritobot.com +short
1.2.3.4 (The origin IP address)

$ dig proxied.theburritobot.com +short
104.16.22.6 , 104.16.23.6 (CIS IP addresses)

使用非标准名称来隐藏不通过代理传递的源记录

任何无法通过 CIS 进行代理，但仍使用您的源 IP 的记录（如 FTP），都可以通过创建额外的混淆来确保安全。特别是，如果您需要一个无法通过 CIS 代理的起源记录，请使用非标准名称。例如，代替 ftp.example.com 使用 [random word or-random characters].example.com. 此模糊处理使 DNS 记录的字典扫描不太可能公开源 IP 地址。

对于 HTTP 和非 HTTP 流量使用单独的 IP 范围（如果可能）

一些客户对于 HTTP 和非 HTTP 流量使用单独的 IP 范围，从而允许通过代理传递指向其 HTTP IP 范围的所有记录，并使用其他 IP 子网来隐藏所有非 HTTP 流量。

最佳实践 2：有选择地配置安全级别

您的安全级别确定 IP 声誉数据库的敏感度。为避免负面交互或误报，请按域配置安全级别以在需要的位置提高安全性，在适当的位置降低安全性。

将敏感区域的安全级别提高到“高”

您可以针对域从“高级安全性”页面增加此设置，或者通过为管理页面或登录页面添加页面规则来增加此设置，从而减少暴力攻击尝试：

使用 API 的 URL 模式创建页面规则（例如，www.example.com/wp-login）。
找到安全级别设置。
将设置标记为高。
选择供应资源。

降低非敏感路径或 API 的安全级别以减少误报

对于常规页面和 API 流量，可以降低此设置：

使用 API 的 URL 模式创建页面规则（例如，www.example.com/api/*）。
找到安全级别设置。
将“安全级别”设为低或基本关闭。
选择供应资源。

“安全级别”设置意味着什么？

“安全级别”设置与特定 IP 地址因网络恶意行为而得到的威胁评分保持一致。高于 10 的威胁评分被视为高。

高：如果威胁评分大于 0，将进行质询。
中：如果威胁评分大于 14，将进行质询。
低：如果威胁评分大于 24，将进行质询。
基本关闭：如果威胁评分大于 49，将进行质询。
关闭：仅限企业
防御模式：只应在网站受到 DDoS 攻击时使用。在 CIS 分析流量和行为以确保是合法访问者在尝试访问 Web 站点时，访问者会收到一个显示约 5 秒的空隙页面。防御模式可能会影响域上的某些操作，例如使用 API。您可以通过为该部分创建页面规则，从而设置 API 或域的任何其他部分的定制安全级别。

建议您定期查看安全级别设置。您可以在 CIS 设置的最佳实践中找到指示信息。

最佳实践 3：安全地激活 Web 应用程序防火墙 (WAF)

安全部分中提供 WAF。在此，我们将以相反的顺序介绍这些设置，以确保在为整个域打开 WAF 之前，尽可能安全地配置 WAF。这些初始设置通过填充安全性事件来进一步调优，从而减少误报。 WAF 将自动进行更新以处理发现的新漏洞。有关更多信息，请参阅使用安全性事件功能。

WAF 保护您免受以下类型的攻击：

SQL 注入攻击
跨站点脚本编制
跨站点伪造

WAF 包含一个默认规则集，其中包括阻止最常见攻击的规则。目前，我们允许您启用或禁用 WAF，并对 WAF 规则集中的特定规则进行微调。请参阅 WAF操作文档，了解规则集和每条规则的行为的更多详情。

有关更多信息，请参阅 Web 应用程序防火墙(WAF)概念。

最佳实践 4：配置 TLS 设置

IBM CIS 提供一些用于加密流量的选项。作为反向代理，我们会关闭数据中心的 TLS 连接，并打开与您的源服务器的新 TLS 连接。

TLS 提供四种操作方式：

关闭：在此方式下禁用 TLS，建议不要这样做。
客户机到边缘：TLS 加密从 CIS 到客户机的流量，但是不加密从 CIS 到源服务器的流量。
端到端灵活：TLS 加密所有流量；但是，您可以使用自签名证书来保护 CIS 和源服务器之间的流量。
端到端 CA 签名：（推荐）TLS 加密所有流量；您必须使用 CA 签名的证书。
已认证的源拉取: (仅限企业) TLS 客户机证书，用于在源拉取时进行认证。有关更多信息，请参阅已认证的源拉取。

请参阅 TLS 选项以获取详细信息。

IBM CIS 允许您使用定制证书，也可以使用由 CIS 为您供应的通配符证书。

上传定制证书

点击“添加证书”，输入证书、私钥和捆绑方法，即可上传自定义证书。如果您上载自己的证书，那么将立即获得与加密流量的兼容性，并保持对证书 (例如，扩展验证 (EV) 证书) 的控制。CIS 不支持通过订购或通用证书进行证书锁定。如果您想使用证书固定功能，建议您上传并维护自己的自定义证书。

请记住，如果您上传的是自定义证书，则您有责任管理您的证书。例如，CIS 不会跟踪证书到期日期。

订购专用证书

CIS 通过提供专用证书来方便证书的管理。您不再需要生成专用密钥、创建证书签名请求 (CSR) 或记住更新证书。您可以点击添加证书订购专用证书，然后订购通配符证书或输入主机名订购专用自定义证书。证书类型为：

使用 P-256 密钥的 SHA-2/ECDSA 签名证书，
使用 RSA 2048 位密钥的 SHA-2/RSA 签名证书，和
使用 RSA 2048 位密钥的 SHA-1/RSA 签名证书。

CIS 可以针对除 .cu，.iq，.ir，.kp，.sd，.ss 和 .ye 以外的所有 TLD 发出。CIS 管理到期日期。要编辑专用定制证书上的主机名，必须重新订购，然后删除。例如，使用主机名 alpha.yourdomain.com 订购专用定制证书。要向专用定制证书添加主机名 beta.yourdomain.com，请使用主机名 alpha.yourdomain.com 和 beta.yourdomain.com 订购另一个专用定制证书。之后，您_必须_删除原始专用自定义证书。

第一次订购专用证书时，发生“域控制验证”(DCV) 过程，这将生成对应的 TXT 记录。如果删除 TXT 记录，那么在订购另一个专用证书时，DCV 过程将再次发生。如果删除专用证书，那么不会删除与 DCV 过程对应的 TXT 记录。

下面是订购专用证书时常见的错误：

Error connecting to certificate service.
Error while requesting from certificate service.

如果在订购证书时出现错误，请刷新页面并重试。

使用供应的证书

IBM 已与多个认证中心 (CA) 合作，为客户提供域通配符证书。设置这些证书可能需要手动验证。您的支持团队可以帮助您执行这些额外的步骤。

边缘的证书优先级

在边缘显示证书的优先级为：

上传的定制
专用定制
专用通配符
全球

最低 TLS 版本

请参阅最低 TLS 版本。较高级别的 TLS 提供更高的安全性，但是可能阻止客户连接到站点。

最佳实践 5: 配置速率限制

速率限制的主要用例如下:

对资源实施细粒度访问控制。这包括基于用户代理，IP 地址，引荐者，主机，国家或地区和世界区域等条件的访问控制。
- 按用户代理限制: 常见用例是限制单个用户代理执行请求的速率。
- 允许特定的IP地址或自治系统编号：控制资源访问的另一个用例是，从速率限制规则中排除或包括IP地址或自治系统编号（ASN）。
- 按推荐人限制: 某些应用程序接收来自其他来源的请求 (例如，由链接到第三方页面的广告使用)。您可以限制单个引荐者页面生成的请求数，以管理配额或避免间接 DDoS 攻击。
- 按目的地主机限制：创建一个以主机为计数特征的限速规则。
防止凭证填充和帐户接管攻击。
限制单个客户机执行的操作数。这包括防止机器人刮目相看，访问敏感数据，批量创建新帐户以及在电子商务平台进行程序化购买。
- 防止内容提取 (通过查询字符串)
- 防止内容擦除 (通过主体)
- 限制来自机器人的请求
保护 REST API 免遭资源耗尽 (目标 DDoS 攻击) 和资源普遍滥用。
- 防止卷积攻击
- 保护资源
通过防止服务器超负荷和限制操作数来保护 GraphQL API。
- 限制操作数
- 防止服务器超负荷